Математична модель технології тестування комплексу DOM XSS вразливостей для аналітичної оцінки часових витрат

Loading...
Thumbnail Image

Date

2019

Authors

Коваленко, О. В.
Коваленко, А. В.
Kovalenko, O.

Journal Title

Journal ISSN

Volume Title

Publisher

ЦНТУ

Abstract

В роботі представлені результати дослідження та алгоритми тестування на вразливість до одних з найбільш поширених видів атак на Web-застосунки – DOM XSS для аналітичної оцінки тимчасових витрат. В цілому, проведені дослідження показали, що GERT-моделювання є ефективним способом визначення заздалегідь невідомих законів і функцій розподілу випадкових величин при відомому алгоритмі функціонування (процесу). Головною метою GERT є оцінка логіки мережі і тривалість активності і отримання висновку про необхідність виконання деяких активностей. В результаті розроблено математичну модель технології тестування комплексу DOM XSS вразливостей яка відрізняється від відомих, урахуванням специфіки комплексного аналізу різних типів XSS вразливості («stored XSS», «reflected XSS» і DOM Based XSS), а також включенням в алгоритм процедур автоматичного аудиту DOM Based XSS окремо. Це дає можливість провести аналітичну оцінку тимчасових витрат тестування зазначених вразливостей в умовах реалізації стратегії розробки безпечного програмного забезпечення. В работе представлены результаты исследования и алгоритмы тестирования на уязвимость к одним из наиболее распространенных видов атак на Web-приложения – DOM XSS для аналитической оценки временных затрат. В целом, проведенные исследования показали, что GERT-моделирование является эффективным способом определения заранее неизвестных законов и функций распределения случайных величин при известном алгоритме функционирования (процесса).Главной целью GERT является оценка логики сети и продолжительность активности и получения заключения о необходимости выполнения некоторых активностей.В итоге разработана математическая модель технологии тестирования комплекса DOM XSS уязвимостей которая отличается от известных, учетом специфики комплексного анализа различных типов XSS уязвимости («stored XSS», «reflected XSS» и DOM Based XSS), а также включением в алгоритм процедур автоматического аудита DOM Based XSS отдельно. Это дает возможность провести аналитическую оценку временных затрат тестирования указанных уязвимостей в условиях реализации стратегии разработки безопасного программного обеспечения. The paper presents the results of the study and testing algorithms for vulnerability to one of the most common types of attacks on Web applications, DOM XSS, for analytic assessment of time costs. Analysis of various kinds of statistical materials of well-known organizations (for example, the Open Web Application Security Project) showed that one of the most dangerous types of attacks (vulnerabilities) is Cross Site Scripting – XSS. In a number of works, attempts of mathematical formalization the process of finding and eliminating vulnerabilities of this kind were made . However, the presented models do not take into account the latest trends of XSS vulnerability, namely the difference in their types (“stored XSS”, “reflected XSS” and DOM Based XSS) and the need to identify them. That is why a particularly relevant task in this direction seems to be the modeling of the DOM (Document Object Model) XSS vulnerability algorithm taking into account the complex of their three possible types. In general, studies have shown that GERT-modeling is an effective way to determine previously unknown laws and distribution functions of random variables with a known algorithm of functioning (process). That is why, we chose GERT modeling as a tool for mathematical modeling. The main purpose of GERT is to evaluate the network logic and the duration of the activity and obtaining a conclusion on the need to perform certain activities. As a result, a mathematical model was developed for testing the DOM XSS vulnerability complex which differs from the known ones by taking into account the specifics of complex analysis of various types of XSS vulnerability (“stored XSS”, “reflected XSS” and DOM Based XSS), as well as separately including DOM Based XSS into the algorythm of automatic audit procedures. This makes it possible to conduct an analytical assessment of the time spent testing these vulnerabilities in the context of implementing a secure software development strategy.

Description

Keywords

вразливості безпеки, технології тестування, DOM XSS вразливості, GERT-моделювання, уязвимости безопасности, технологии тестирования, DOM XSS уязвимости, GERT-моделирование, security vulnerabilities, testing technologies, DOM XSS vulnerabilities, GERT modeling

Citation

Коваленко, О. В. Математична модель технології тестування комплексу DOM XSS вразливостей для аналітичної оцінки часових витрат / О. В. Коваленко // Центральноукраїнський науковий вісник. Технічні науки : зб. наук. пр. - Кропивницький : ЦНТУ, 2019. - Вип. 2 (33). - С. 173-180.